反调
JS反调试VMdebugger
今天干活的时候,要在前端调试找token值,打开“源代码”选项卡的时候,就不断步入“VMXXX”格式的源码当中,在查询了一些资料之后,发现Node.js反调试的一种手段,网上有说是Google chrome加载evel()函数,应该是存在这种的情况的,不过在测试的过程当中大多数应该都是反调试的这种。 ......
JS反调试绕过&JS代码混淆&JSFUCK编码
# JS反调试绕过&JS代码混淆&JSFUCK编码 如果目标网站的JS代码中有比较机密的东西,会启用反调试,代码混淆这些功能防止泄露机密数据。下面说说几种绕过目标网站JS反调试功能的方法。 **-禁用断点** 点击下图那个禁用断点的按钮即可 禁止断点过后,大多数情况下可以绕过对方的反调试,**但是自 ......
过某交友软件frida反调试
过某交友软件frida反调试 今天在分析一款交友软件时遇见了frida反调试,收获挺大的,于是记录一下。 frida是逆向人员的神器,有了它就事半功倍,但正是因为frida太有名了,因此出现了很多检测方案,这个软件就检测了frida,不管是attach模式还是spawn模式都附加不上。 一般来说,f ......
8.10 TLS线程局部存储反调试
TLS(Thread Local Storage)用来在进程内部每个线程中存储私有的数据。每个线程都会拥有独立的`TLS`存储空间,可以在`TLS`存储空间中保存线程的上下文信息、变量、函数指针等。TLS其目的是为了解决多线程变量同步问题,声明为TLS变量后,当线程去访问全局变量时,会将这个变量拷贝... ......
8.7 父进程检测反调试
首先这是一种比较奇特的反调试思路,通过检测自身父进程来判定是否被调试,原理非常简单,我们的系统在运行程序的时候,绝大多数应用程序都是由`Explorer.exe`这个父进程派生而来的子进程,也就是说如果没有被调试其得到的父进程就是`Explorer.exe`的进程PID,而如果被调试则该进程的父进程... ......
8.8 异常处理机制反调试
通常可以通过在程序中设置异常处理函数,并在其中发起一个异常,然后判断程序是否已经被调试器附加来实现反调试。如果异常处理函数没有被触发,则说明程序已经被调试器附加;如果异常处理函数被触发,则说明程序没有被调试器附加。安装异常处理函数并手动触发,此时如果被调试器附加,则会不走异常处理流程,此时`IsDe... ......
8.9 RDTSC时钟检测反调试
RDTSC时钟检测同样可实现反调试检测,使用时钟检测方法是利用`rdtsc`汇编指令,它返回至系统重新启动以来的时钟数,并且将其作为一个64位的值存入`EDX:EAX`寄存器中,通过运行两次`rdstc`指令,然后计算出他们之间的差值,即可判定对方是否在调试我们的程序。 ......
进程注入Process Injection之Thread Local Storage——常用在恶意软件反调试,在OEP前检测是否有调试器存在进而推出程序
线程本地存储 攻击者可能会通过线程本地存储 (TLS) 回调将恶意代码注入进程,以逃避基于进程的防御以及可能提升的权限。TLS 回调注入是一种在单独的实时进程的地址空间中执行任意代码的方法。 TLS 回调注入涉及操作可移植可执行文件 (PE) 内的指针,以在到达代码的合法入口点之前将进程重定向到恶意 ......
Web攻防--JS算法逆向--断点调试--反调试&&代码混淆绕过
# Web攻防--JS算法逆向--断点调试--反调试&&代码混淆绕过 ## JS算法逆向 在进行渗透测试过程中,在一些功能点进行参数注入或者枚举爆破等过程中,会出现参数进行加密的情况,但是我们输入参数并不是加密状态,即便测试点存在漏洞也不可能测试成功,这时候便需要将所提交参数进行加密后在进行注入,针 ......
常见反调试技术
# 反调试技术 ## 一. 使用Windows API函数 ### 1. IsDebuggerPresent函数 ### 2.CheckRemoteDebuggerPresent函数 ### 3.OutputDebuggerPresent函数 ## 二. 手动检测数据结构 ### 1. 检测Bein ......
如何绕过frida反调试
# 有的app,会检测frida调试,只要发现,就会不让app启动 ## 一般这种公司的安全人员会单独写so文件用来检测,所以我们可以hook-app启动时,执行了那些so文件,发现执行到最后一个程序闪退了,一般就是因为这个so文件导致的,我们可以尝试删除试试 ## HOOK 安卓系统底层的函数:d ......
4.4 x64dbg 绕过反调试保护机制
在Windows平台下,应用程序为了保护自己不被调试器调试会通过各种方法限制进程调试自身,通常此类反调试技术会限制我们对其进行软件逆向与漏洞分析,我们以第一种`IsDebuggerPresent`反调试为例,该函数用于检查当前程序是否在调试器的环境下运行。函数返回一个布尔值,如果当前程序正在被调试,... ......
无限debugger反调试
1. var _constructor = Function.prototype.constructor; Function.prototype.constructor = function(data){ if("debugger" == data){ return null; } return _ ......
网页端debugger反调试的几种对抗方式
简单总结下目前我掌握的几种对抗debugger反调试的方法,也欢迎大佬们有新的好用的方式补充。 首先写一个简单的html演示: 看下下面的这段JS,很简单,运行时做了一下验证,对比test方法的文本,如果不一样就通过setInterval无限调用debugger。 function test(x,y ......
js反调试
var startTime = new Date (); debugger; var endTime = new Date (); var isDev = endTime-startTime> 100; var stack = []; if (isDev){ while(true){ stack.p ......